CVE-2022-34255 – Adobe Commerce Improper Access Control Privilege escalation
https://notcve.org/view.php?id=CVE-2022-34255
Adobe Commerce versions 2.4.3-p2 (and earlier), 2.3.7-p3 (and earlier) and 2.4.4 (and earlier) are affected by an Improper Access Control vulnerability that could result in Privilege escalation. An attacker with a low privilege account could leverage this vulnerability to perform an account takeover for a victim. Exploitation of this issue does not require user interaction. Adobe Commerce versiones 2.4.3-p2 (y anteriores), 2.3.7-p3 (y anteriores) y 2.4.4 (y anteriores) están afectadas por una vulnerabilidad de Control de Acceso Inapropiado que podría resultar en una elevación de privilegios. Un atacante con una cuenta poco privilegiada podría aprovechar esta vulnerabilidad para llevar a cabo una toma de control de la cuenta de una víctima. • https://helpx.adobe.com/security/products/magento/apsb22-38.html • CWE-284: Improper Access Control CWE-863: Incorrect Authorization •
CVE-2022-34254 – Adobe Commerce Improper Limitation of a Pathname to a Restricted Directory Arbitrary code execution
https://notcve.org/view.php?id=CVE-2022-34254
Adobe Commerce versions 2.4.3-p2 (and earlier), 2.3.7-p3 (and earlier) and 2.4.4 (and earlier) are affected by an Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability that could be abused by an attacker to inject malicious scripts into the vulnerable endpoint. A low privileged attacker could leverage this vulnerability to read local files and to perform Stored XSS. Exploitation of this issue does not require user interaction. Adobe Commerce versiones 2.4.3-p2 (y anteriores), 2.3.7-p3 (y anteriores) y 2.4.4 (y anteriores) están afectadas por una vulnerabilidad de Limitación Inapropiada de un Nombre de Ruta a un Directorio Restringido ("Salto de Ruta") que podría ser aprovechada por un atacante para inyectar scripts maliciosos en el endpoint vulnerable. Un atacante poco privilegiado podría aprovechar esta vulnerabilidad para leer archivos locales y llevar a cabo un ataque de tipo XSS almacenado. • https://helpx.adobe.com/security/products/magento/apsb22-38.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2022-34256 – Adobe Commerce Improper Authorization Privilege escalation
https://notcve.org/view.php?id=CVE-2022-34256
Adobe Commerce versions 2.4.3-p2 (and earlier), 2.3.7-p3 (and earlier) and 2.4.4 (and earlier) are affected by an Improper Authorization vulnerability that could result in Privilege escalation. An attacker could leverage this vulnerability to access other user's data. Exploitation of this issue does not require user interaction. Adobe Commerce versiones 2.4.3-p2 (y anteriores), 2.3.7-p3 (y anteriores) y 2.4.4 (y anteriores) están afectadas por una vulnerabilidad de Autorización Inapropiada que podría resultar en una escalada de Privilegios. Un atacante podría aprovechar esta vulnerabilidad para acceder a los datos de otros usuarios. • https://helpx.adobe.com/security/products/magento/apsb22-38.html • CWE-285: Improper Authorization •
CVE-2022-34258 – Adobe Commerce Stored XSS Arbitrary code execution
https://notcve.org/view.php?id=CVE-2022-34258
Adobe Commerce versions 2.4.3-p2 (and earlier), 2.3.7-p3 (and earlier) and 2.4.4 (and earlier) are affected by a stored Cross-Site Scripting (XSS) vulnerability that could be abused by an attacker with admin privileges to inject malicious scripts into vulnerable form fields. Malicious JavaScript may be executed in a victim’s browser when they browse to the page containing the vulnerable field. Adobe Commerce versiones 2.4.3-p2 (y anteriores), 2.3.7-p3 (y anteriores) y 2.4.4 (y anteriores) están afectadas por una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado de la que podría abusar un atacante con privilegios de administrador para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. El JavaScript malicioso puede ejecutarse en el navegador de la víctima cuando ésta navega a la página que contiene el campo vulnerable. • https://helpx.adobe.com/security/products/magento/apsb22-38.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-26631 – Mangboard parameter modulation vulnerability
https://notcve.org/view.php?id=CVE-2021-26631
Improper input validation vulnerability in Mangboard commerce package could lead to occur for abnormal request. A remote attacker can exploit this vulnerability to manipulate the total order amount into a negative number and then pay for the order. Una vulnerabilidad de comprobación de entrada inapropiada en el paquete de comercio Mangboard podría conllevar a que sean producidas peticiones anormales. Un atacante remoto puede explotar esta vulnerabilidad para manipular el importe total del pedido hasta convertirlo en un número negativo y luego pagar el pedido • https://www.krcert.or.kr/krcert/secNoticeView.do?bulletin_writing_sequence=66724 • CWE-20: Improper Input Validation •